我想你應該發了另外一個subnet給VPN Client, 所以你還是得要做NAT的... A) 在OpenVPN Server上面做, 往外-Internet以及往內-Intranet 的server會覺得這些東西都是 VPN Server來要的 (不建議) B) 在你的NAT Server 上設定一筆Static Route, 讓他知道往Client-Subnet 要去找VPN Server, 另對Client-subnet 也做 NAT (這樣比較好) 由於我是在 BSD 下實做的, Linux 的命令我不熟就沒法打給你看, 不過你可以看看這個架構圖... Internet--------(WAN 1.2.3.4) NAT_Device |(LAN 192.168.0.0/24) | | LAN Switch | |---DNS(192.168.0.1) | |---File Server(192.168.0.2) | |---OpenVPN Server (192.168.0.3) | |--VPN Clinet Subnet (192.168.8.0/24) So, NAT_Device 上面要有一筆記錄是: Add route 192.168.8.0 Mask 24 192.168.0.3 (凡是要去192.168.8.0/24的請去找192.168.0.3) NAT_Device 上面除了原本的 nat on 1.2.3.4 from 192.168.0.0/24 to any -> 1.2.3.4 還要多一條 nat on 1.2.3.4 from 192.168.8.0/24 to any -> 1.2.3.4 OpenVPN Server 上面的 GW 則要開, 封包才會轉... P.S.Firewall/NAT BOX 如果有SPI, 這樣會不通喔, 不過有SPI的機器通常 也不需要這樣搞了吧.... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 107.170.243.78 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1445200674.A.326.html